האם האתר שלכם באמת חייב באנר קוקיז (Cookies)? נראה שסוף סוף יש תשובה. המדריך המעשי לבעלי אתרים

 

כעורך דין העוסק בדיני פרטיות, אחת השאלות שאני נשאל הכי הרבה על ידי בעלי עסקים וחברות היא: "האם אני באמת חייב להקפיץ לגולשים את החלון המעצבן הזה של אישור הקוקיז ברגע שהם נכנסים לאתר? הרי יש לי עמוד 'מדיניות פרטיות' מסודר בתחתית האתר, זה לא מספיק?"

 

הבלבול הזה מובן לחלוטין. במשך שנים הנושא לא זכה להתייחסות, ולאחר כניסת תיקון 13 לתוקף השאלה הזו זכתה לפרשנויות סותרות בשוק, כשגם עורכי דין רבים היו חלוקים ביניהם בנושא.

 

אבל ממש לא מזמן, ב-25 בפברואר 2026, הרשות להגנת הפרטיות פרסמה את "גילוי דעת בנושא הסכמה בדיני הגנת הפרטיות". מטרת המסמך היא להבהיר את עמדת הרשות בעניין יישום עיקרון ההסכמה בראי המציאות הדיגיטלית המתפתחת. גילוי הדעת הזה, המשתלב עם תיקון 13 לחוק הגנת הפרטיות, עושה סוף לשמועות וקובע כללים ברורים.

  

כדי לעשות לכם סדר, בואו נפרק את הסוגיה לארבעה מצבים פשוטים.

 

1. מתי אתם מחוץ לסיפור (ולא צריכים באנר קוקיז)?

חוק הגנת הפרטיות עוסק באיסוף ושימוש במידע אישי. אם האתר שלכם אוסף אך ורק נתונים טכניים וסטטיסטיים לחלוטין שאינם מזהים את הגולש (לא במישרין ולא בעקיפין), והם נדרשים אך ורק לצורך התפעול התקין של האתר - הכללים המחמירים של פגיעה בפרטיות לא חלים עליכם. במצב כזה, אין חובה להקפיץ חלון אישור.

 

2. אבל אם אתם אוספים מידע אישי? מדיניות פרטיות חבויה אינה מספיקה, ויש פה סיפור אחר לחלוטין.

אם האתר שלכם משתמש בעוגיות לצורכי שיווק, פרסום ממוקד (ריטרגטינג/רימרקטינג) או ניתוח מעמיק - אתם אוספים מידע אישי. במצב כזה, חובה עליכם לקבל מהגולש הסכמה "מדעת".

 

 

רבים חושבים שעצם הגלישה באתר מהווה הסכמה משתמעת (מכללא) לאיסוף המידע. ובכן, זה נכון חלקית: המשך "גלישת" משתמש באתר אינטרנט תיחשב על-פי רוב להסכמה מכללא. אך זה קורה רק בתנאי שהמידע הנדרש לקבלת ההסכמה מדעת הוצג בפניו עם כניסתו לאתר.

 

 

אתר אינטרנט אשר מסמך תנאי השימוש ומדיניות הפרטיות שלו אינו נגיש בצורה סבירה למשתמשים בו, עשוי להיחשב ככזה שאינו עומד בתנאים הנדרשים לביסוס הסכמה מדעת. זו בדיוק הסיבה שהרשות ממליצה במפורש להשתמש ב"באנרים קופצים" / "חלון קוקיז" כדי להבליט את הדגשים המרכזיים הנוגעים לפרטיות. הגולש חייב לראות את הבקשה לפני שהוא ממשיך לגלוש.

 

 

3. שאלה נפוצה נוספת היא: האם איסוף של כתובת IP בלבד מחייב באנר קוקיז?

רבים שואלים אותי: "רגע, ואם אני אוסף רק כתובות IP של גולשים בלי שם או טלפון? הרי הגולש יכול לשבת בבית קפה, או לגלוש מכתובת IP מתחלפת - זה לא באמת מזהה אותו אישית, נכון?"

 

ובכן, כאן התשובה קצת טריקית. הרי מבחינה טכנית טהורה, יש בזה היגיון מסוים, כי אם אדם יושב בבית קפה או במתחם עבודה שבו בכל רגע נתון עשרות ואף מאות אנשים יכולים לקבל IP זהה - מעשית הזיהוי שלו (כנראה) על גבול הבלתי אפשרי אפילו אם יש בידינו כתובת IP, ואפילו במקרה שניאלץ בצו שיפוטי להעביר את כתובת ה-IP הזו - לא יהיה לצד המקבל מה לעשות עם זה..

 

אבל מבחינה משפטית, ובמיוחד לאור תיקון 13 לחוק הגנת הפרטיות שמכניס "מזהים מקוונים" תחת ההגדרה של מידע אישי, נראה כי הגישה המקצועית והבטוחה ביותר היא להחמיר ולהתייחס לכתובת IP כאל מידע אישי (עם "כוכבית" קלה שתיכף אתייחס אליה).

 

למה? כי בעולם הדיגיטלי של היום, כתובת ה-IP של הגולש, במקרים מסוימים, אכן עשויה לזהות אותו. המערכות באתר שלכם (כמו שירותי אנליטיקה או פיקסלים של רשתות חברתיות) מצליבות את כתובת ה-IP עם נתונים נוספים כמו סוג הדפדפן והמכשיר, כדי לייצר פרופיל דיגיטלי של המשתמש. ברגע שהמידע הזה מאפשר לאפיין את הגולש, הוא הופך למידע אישי שאיסופו מחייב הסכמה כדין.

 

ולכן, התשובה שלי לפחות, מתחלק לשניים:

א. אפשר להתחכם מעט, ולומר "זה נראה לי מקרה חריג מאוד", ואפשר אפילו לומר "אני אעשה אנונימיזציה של כתובת IP". אולי זה יעבוד, אולי לא;

ב. אפשר להיות בגישה של "הפיקח יודע לצאת מצרה שהחכם יודע לא להיכנס אליה", ומלכתחילה ללכת בגישה מחמירה לפיה חובה לקבל הסכמה מפורשת של הגולש.

 

4. מלכודת "ההסכמה הפיקטיבית", ידוע גם בשם: "טוב, אני אקפיץ באנר קוקיז ככה אצא ידי חובה"

 

הנה טעות קריטית שאתרים רבים עושים: הם מציגים באנר קוקיז, אבל בפועל מתחילים לאסוף את המידע על הגולש באלפית השנייה שהוא נחת באתר, בלי לתת לו אפשרות אמיתית לסרב.

חשוב להבין: הרשות מבהירה כי במצב בו אדם כלל אינו יכול, הלכה למעשה, לסרב לפעולה הפוגעת בפרטיותו, יהיה קשה לראות בהסכמתו ככזו שניתנה מתוך רצון חופשי.

הרי מצב כזה דומה לסיטואציה שבה אקח מכל מי שנכנס אליי למשרד את הארנק שלו, אצלם את תעודת הזהות שלו ופרטי האשראי שלו, ואבשר לו: "הכניסה למשרד שלי מהווה הסכמה שאצלם את תעודת הזהות ואת כרטיס האשראי שלך", עוד מבלי שלפני כן ביקשתי רשות. פעולה כזו היא, כמובן, אסורה, ולכן הסתפקות בהקפצת באנר קוקיז במקרה כזה היא אסורה לחלוטין ומהווה פגיעה בפרטיות. 

 

ואם לסכם - פרופיילינג ושיווק דורשים אישור אקטיבי: כאשר מדובר בשימוש במידע אישי למטרות "פרופיילינג" שאינו קשור ישירות בתכלית העסקה, נדרשת קבלת הסכמה אקטיבית ונפרדת (Opt-in). אי אפשר פשוט להציב עובדה מוגמרת.

  

וכמובן כמובן, בלי טריקים ושטיקים: שימוש בכלים עיצוביים ו"טקטיקות אפלות" שנועדו להקשות על המשתמש להבין את משמעות הסכמתו, כמו הבלטת כפתור "אישור" והסתרת כפתור "סירוב", עלול להצביע על כך שההסכמה אינה מדעת ואינה מבטאת רצון חופשי.

  

אז מכל זה, מה המסקנה לפי גילוי הדעת? בגדול בגדול:

 

א. אם המידע שנאסף הוא חיוני לצורך תפעול האתר - אין שום חובה בבאנר קוקיז, ולמעשה הוא חסר משמעות;

 

ב. אבל...אתם אוספים מידע אישי שאינו הכרחי לחלוטין לתפעול הטכני של האתר - אתם חייבים מנגנון הסכמה קופץ ונגיש. ולא, הבאנר הזה לא יכול להיות סתם חותמת גומי, הוא חייב להיות שקוף, לא לכלול "טריקים", ולאפשר לגולש לבחור באמת למה הוא מסכים.

 

 

רצוי כמובן לקבל ייעוץ מסודר בנושא על מנת לוודא שהאתר שלכם עומד בהוראות החוק, ייעוץ שגם יכלול ניסוח של מדיניות פרטיות. מוזמנים לשוחח עמי ואשמח לסייע.

 

 

 

באנר קוקיז